[Comm] Re: Безопасность

[Dmitry V. Levin]

On Mon, Jan 03, 2005 at 12:10:37PM +0300, Maksim Otstavnov wrote:
> Hello Dmitry,
> Sunday, January 02, 2005, 11:47:47 PM, you wrote:
> 
> DVL> Я не умею сочинять анонсы к незафиксенным уязвимостям.  И не хочу уметь.
> 
> Очень жалко.

У меня есть основания настаивать на этом. :)

> DVL> Я убеждён, что исправление важнее анонса.  Сисадмин в состоянии
> DVL> проанализировать степень угрозы скорее, чем подготовить исправление.
> 
> Видите ли, чтобы проанализировать степень угрозы, нужно знать о ее
> наличии.

Сисадмин должен быть информированным, причём информация должна поступать
более чем из одного источника.

> При этом приоритеты могут быть расставлены так, что в некоторых
> случаях закрыть "дыру" нужно даже ценой деградации функциональности.

Да, конечно, бывает и так.

> В то же время, доверие к ST может быть достаточно высоко, чтобы
> ставить рекомендуемые ею секьюрити-апдейты, не вникая особенно в то,
> что именно там уже пофиксено (ну или разбираясь постфактум, как оно
> часто и бывает).

Я бы предпочёл, чтобы специалисты думали прежде чем обновлять, а все
остальные ставили всё, что есть в updates, даже без анонса.

> В этом смысле, информация о "незафиксенных" уязвимостях может быть как
> бы и важнее, чем о "зафиксенных".

Повторю ещё раз, я считаю, что специалист должен иметь различные источники
достоверной информации, а всем остальным не имеет смысла вдаваться в такие
подробности.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20050103/ac507712/attachment-0003.bin>